提高网络安全意识与培训

关键要点

• 网络安全意识和培训是抵御网络攻击的重要措施。
• 暴露于网络钓鱼和社交工程攻击的风险仍然很高，90%的网络攻击起源于此。
• 训练要具有时效性和趣味性，以增强员工的记忆与执行力。
• 员工要了解基本的网络安全行为，包括密码管理、双重认证等。

在网络安全意识月
（CSAM）迎来20周年之际，员工的意识与培训仍然是抵御网络攻击的有效策略。网络安全与基础设施安全局（CISA）发现，90%的网络攻击都与网络钓鱼有关。即使意图良好的员工也可能无意间遭遇这些攻击，从而为网络犯罪分子打开进入公司网络的大门，进而进行更高级的攻击，如勒索软件攻击或侧面移动窃取重要信息、造成大规模损害。

更糟糕的是，如今的创新技术，如生成式人工智能，使得识别真实邮箱与欺诈邮箱几乎变得不可能。网络犯罪分子正通过更复杂的策略提升其攻击效率，因此组织需要加倍努力增强员工的网络安全意识和培训。

现代化的网络安全意识培训

很多时候，组织会专注于使用技术手段防御最新的威胁，但没有任何产品能够解决人的因素。因此，那些尚未建立正式的网络安全意识和培训计划的组织，应优先考虑尽快实施。

对于已建立相关计划的组织而言，CSAM
是重新评估策略的绝佳时机。将意识提升和培训视为每年必须完成的例行检查只会导致效果微弱，因为许多员工可能在几周后就遗忘所学。最佳的意识和培训计划应当经常进行，以保持员工对网络安全的关注。下面是一些建议：

方法 | 目的
—|—
定期的短小培训 | 提高记忆效果
互动视频或简报 | 使学习内容生动有趣

鼓励员工将网络安全意识和培训看作有趣、值得参与的学习机会，而不仅仅是例行公事。

确定重点领域

在意识与培训内容上，行业应让员工了解潜在威胁，并提供基本的网络安全行为以帮助保护他们及公司内部的信息安全。例如：

• 保持警觉 ：虽然人工智能使得钓鱼邮件更难发现，但员工仍应了解传统的识别技巧，如拼写错误、可疑的附件或链接，以及不合理的紧急措辞。同时，鼓励他们在阅读邮件时放慢速度，以便发现这些警示信号。
• 密码管理 ：创建复杂且冗长的密码，至少包含12个字符，其中包括大写字母、小写字母、数字和特殊符号。员工应定期更新密码，并避免在多个账户间重复使用同一密码。
• 双重认证（MFA） ：强密码加上双重认证为保护账户提供了额外保障，即使密码被破解也很难被恶意入侵者访问。
• 社交媒体使用 ：网络犯罪分子利用公开信息进行网络钓鱼和其他社交工程攻击。教导员工减少数字足迹，比如避免“签到”位置和分享照片，工作时使用企业VPN。

此外，网络犯罪分子越来越多地利用设备安全漏洞，因此安全团队应将设备安全作为意识与培训的重要组成部分。确保员工及时进行软件和固件的更新。程序更新不仅增加新功能，还修复已知漏洞。尤其是在工作时，一定要避免拖延这些更新，因为每延宕一秒，就为网络犯罪分子打开了一扇门。

其他设备安全最佳实践包括关闭Wi-Fi和蓝牙的自动连接功能，以免意外连接到攻击者网络，并始终在下载软件或应用程序前核实来源。

最后，员工还应关注家庭网络和路由器的安全。随着家庭网络在疫情后大量承担工作网络的功能，员工需要将企业安全最佳实践带回家。例如，建议他们更改路由器的默认密码，设置访客网络，并只使用WPA2或更新的WPA3协议。也提醒员工关注那些我们常常遗忘但始终连接在背景中的“物联网设备”。

实践简单报告机制

在网络安全意识与培训过程中，组织应确保员工知道如何报告可疑的电子邮件和活动